次の方法で共有

Office 365 Management API を使用して監査ログを収集する

監査ログ同期フローは、Office 365 管理アクティビティ API 参照 に接続して、アプリのテレメトリ データ (ユニーク ユーザー、起動回数など) を収集します。 フローは HTTP アクションを使用して API にアクセスします。 この記事では、HTTP アクションのアプリ登録と、フローの実行に必要な環境変数を設定します。

注意

センター オブ エクセレンス (CoE) スタート キットは、これらのフローなしで動作します。 ただし、フローを使用しない場合、Power BI ダッシュボードではアプリの起動や一意のユーザー数などの使用状況情報は空白になります。

前提条件

  1. CoE スターター キットを設定する前に 記事と 在庫コンポーネントの設定 記事の手順を完了させてから、ここで設定を続行します。
  2. 環境の設定
  3. 適切な ID でサインインします。

チップ

インベントリとテレメトリのメカニズムとして クラウド フロー を選択した場合のみ、監査ログ フローを設定します。

監査ログのフローを設定する前に

  1. 監査ログのコネクタが機能するためには、Microsoft 365 の監査ログ検索がオンになっている必要があります。 詳細については、監査をオンまたはオフにする を参照してください。
  2. テナントには、統合監査ログをサポートするサブスクリプションが必要です。 詳細については Microsoft 365 セキュリティとコンプライアンスに関するガイダンス を参照してください。
  3. Microsoft Entraのアクセス許可は、Microsoft Entra アプリ登録を構成するには、グローバル管理者の権限が必要です。 Microsoft Entra 構成によって、これらのアクセス許可は アプリケーション開発者 ロール以上になります。 詳細なガイダンスについては、Microsoft Entra ID のタスク別の最小特権ロール を参照してください。

注意

Office 365 Management API へのアクセス権を取るためにアプリケーションの権限を取得するには、API が Microsoft Entra ID を通じて提供する認証サービスを使用できます。

Office 365 管理 API アクセスの Microsoft Entra アプリの登録を作成する

これらの手順に従って、Microsoft Entra フローで HTTP 呼び出しの Power Automate アプリ登録を設定し、監査ログに接続できます。 詳細は Office 365 管理 API の使用を始める を参照してください。

  1. Azure portalにサインインします。

  2. Microsoft Entra ID>アプリの登録 に移動します。

    アプリ登録 Azure サービスの場所を示すスクリーンショット。

  3. + 新規登録を選択します。

  4. 名前 (Microsoft 365 管理など) を入力しますが、他の設定は変更しません。 次に、登録 を選択します。

  5. API アクセス許可>アクセス許可の追加を選択します。

    API 権限メニューの +許可を追加 ボタンの場所を示すスクリーンショット。

  6. Office 365 管理 API を選択し、次のようにアクセス許可を構成します:。

    1. アプリケーションのアクセス許可 を選択してから、ActivityFeed.Read を選択します。

      [API アクセス許可] メニューの [API アクセス許可の要求] ページの ActivityFeed.Read 設定を示すスクリーンショット。

    2. アクセス許可の追加 を選択します。

  7. 組織の <管理者の同意を得る> を選択します。 管理コンテンツの設定方法の詳細については 前提条件を参照してください。

    API アクセス許可には、委任された ActivityFeed.Read アクセス許可が 組織に<付与済み> の状態で反映されるようになりました。

  8. 証明書とシークレット を選択します。

  9. + 新しいクライアント シークレットを選択します。

  10. (組織のポリシーに従って) 説明と有効期限を追加します。 追加を選択します。

  11. アプリケーション (クライアント) ID 値をコピーして Notepad file などのテキスト ドキュメントに貼り付けます。

  12. 概要 を選択し、アプリケーション (クライアント) ID およびディレクトリ (テナント) ID の値を同じテキスト ドキュメントにコピーして貼り付けます。 どのグローバル一意識別子 (GUID) がどの値に対するものであるかを必ずメモしてください。 カスタムコネクタを構成するときにこれらの値が必要になります。

環境変数の更新

環境変数は、legacy Office 365 Management API と Graph API のどちらを使用するかを制御するために使用されます。 環境変数は、アプリ登録のクライアント ID とシークレットを保存するためにも使用されます。 さらに、HTTP アクションに使用するクラウドのタイプに応じて、対象ユーザーおよび認証局のサービス エンドポイントを定義するために使用されます。 クラウドの種類は、商用、米国政府機関向けコミュニティ クラウド (GCC)、米国 GCC High、または米国国防総省 (DoD) です。 フローをオンにする前に 環境変数 を更新します。

監査ログ - クライアント シークレット 環境変数でプレーンテキストでクライアント シークレットを保存することができます。 ただし、この方法は推奨しません。 代わりに、Azure Key Vault でクライアントシークレットを作成して保存し、監査ログ - クライアント Azure シークレット 環境変数でこれを参照することをお勧めします。

注意

この環境変数を使用するフローには、監査ログ - クライアント シークレット、または 監査ログ - クライアント Azure シークレット のいずれかの環境変数を必要とする条件が設定されています。 しかし、Azure Key Vault と連携するために、フローを編集する必要はありません。

件名 プロパティ 価値
監査ログ - Graph API を使用する イベントのクエリに Graph API を使用するかどうかを制御するパラメーター。

いいえ (デフォルト)

同期フローでは、レガシ Office 365 Management API が使用されます。
監査ログ - 対象ユーザー HTTP 呼び出しの対象ユーザー パラメーターです。
  • 商用 (デフォルト): https://manage.office.com
  • GCC: https://manage-gcc.office.com
  • GCC High: https://manage.office365.us
  • DoD: https://manage.protection.apps.mil
監査ログ - オーソリティ HTTP 呼び出しにおけるオーソリティ フィールドです。
  • 商用 (デフォルト): https://login.windows.net
  • GCC: https://login.windows.net
  • GCC High: https://login.microsoftonline.us
  • DoD: https://login.microsoftonline.us
監査ログ - ClientID アプリ登録のクライアント ID。 Office 365 管理 API アクセスに対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント ID。
監査ログ - クライアント シークレット アプリ登録クライアントシークレット (シークレットIDではなく、実際の値) のプレーン テキスト。

Office 365 管理 API アクセスに対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント シークレット。

Azure Key Vault を使用しクライアント ID とシークレットを保存している場合は、この変数を空にしておきます。
監査ログ - クライアント Azure シークレット アプリ登録クライアント シークレットの Azure Key Vault 参照。

Office 365 管理 API に対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント シークレットに対する Azure Key Vault 参照。

監査ログ - クライアント シークレット 環境変数でクライアント ID をプレーン テキストで保存する場合は、空のままにします。 この変数は、シークレットではなく、Azure Key Vault 参照が必要です。 詳細情報は、Azure Key Vault シークレットの環境変数を使用するを参照してください。

監査ログ コンテンツに対するサブスクリプションの開始

  1. make.powerapps.com にアクセスします。

  2. ソリューションを選択します。

  3. センター オブ エクセレンス - コア コンポーネント ソリューションを開きます。

  4. 管理者 | 監査ログ | Office 365 管理 API サブスクリプション フローをオンにして実行し、実行する操作として start と入力します。

    ナビゲーション バーの [実行] ボタンの位置とフロー実行 ペインの開始操作を示すスクリーンショット。

  5. フローを開いて、サブスクリプションを開始するアクションが成功したことを確認します。

重要

以前にサブスクリプションを有効にしている場合は、(400) サブスクリプションは既に有効になっています というメッセージが表示されます。 これは、サブスクリプションが過去に正常に有効化されたことを意味します。 このメッセージは無視でき、設定は続行できます。

上記のメッセージまたは応答 (200) が表示されない場合は、要求が失敗した可能性があります。 設定にエラーがあり、フローが機能しないようにしている可能性があります。 以下の一般的な問題がないかを確認してください。

  • 監査ログは有効になっていて、監査ログを表示する権限がありますか? Microsoft Compliance Manager で検索し、ログが有効になっているかどうかを確認します。
  • 監査ログを最近有効にしたばかりですか? その場合は、監査ログがアクティブ化する時間を必要とするため、数分後に再試行してみてください。
  • Microsoft Entra アプリの登録 の手順を正しく実行したことを確認します。
  • これらのフローの環境変数が正しく更新されたことを検証します。

子フローをオンにする

  1. make.powerapps.com に移動します。
  2. ソリューションを選択します。
  3. センター オブ エクセレンス - コア コンポーネント ソリューションを開きます。
  4. 管理者 | 監査ログ | データの更新 (V2) フローをオンにします。 このフローは Power Apps テーブルを前回の起動に関する情報で更新します。 また、監査ログ レコードにメタデータが追加されます。
  5. 管理者 | 監査ログ | 監査ログの同期 (V2) フローをオンにします。 このフローは時間ごとのスケジュールで実行され、監査ログ イベントを監査ログ テーブルに収集します。

フィードバックを提供する

CoE スターター キットにバグが見つかった場合は、aka.ms/coe-starter-kit-issues でソリューションに対するバグを報告してください。